Un informaticien brésilien a permis à un gang de cybercriminels d’orchestrer l’un des plus gros détournements financiers via le système PIX. Les pertes s’envolent.Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
João Roque, employé de la société C&M, a été arrêté par la police brésilienne. Il est soupçonné d’avoir transmis ses identifiants à un réseau de pirates [stealer ou insider ? à vous de choisir !], déclenchant une attaque ciblée contre le système de paiement PIX, utilisé par plus des trois quarts de la population. Les pertes dépassent 540 millions de réaux brésiliens (environ 100 millions d’euros) et concernent principalement les banques utilisant l’infrastructure C&M. Si les comptes des particuliers n’ont pas été touchés, la Banque centrale a suspendu certaines opérations et gèle l’activité de l’entreprise. L’affaire, d’une ampleur inédite, illustre la vulnérabilité des chaînes humaines au cœur de l’écosystème numérique bancaire.
PIX, un système vulnérable infiltré de l’intérieur
C’est dans la discrétion d’un bureau informatique que la brèche a été ouverte. João Roque, salarié de la société brésilienne C&M, est accusé d’avoir remis ses identifiants à un groupe criminel organisé. Une compromission interne classique, mais aux conséquences dévastatrices. Grâce à cet accès, les assaillants ont pu manipuler le système PIX — le dispositif de paiement instantané largement utilisé au Brésil — en simulant des transactions massives de nuit.
L’infrastructure de C&M, spécialisée dans l’échange d’informations entre les banques et la Banque centrale du Brésil, était un maillon central. Lorsque cette interface tombe aux mains de pirates, le système entier devient vulnérable. L’attaque n’a pas visé les comptes individuels, mais les flux interbancaires eux-mêmes, permettant des mouvements frauduleux à grande échelle, dans une discrétion absolue.
La sophistication technique n’était pas au cœur de l’attaque. C’est la tactique d’ingénierie sociale, combinée à la connaissance interne, qui a fait la différence. Une opération éclair, invisible aux yeux des utilisateurs, mais qui a vidé les circuits financiers de centaines de millions de réaux en quelques heures.
540 millions de réaux envolés, et une seule banque exposée
Selon les premiers résultats de l’enquête menée par la police de São Paulo, les pertes constatées atteignent déjà 540 millions de réaux (environ 100 millions d’euros), concentrées sur une seule institution financière. Mais ce chiffre pourrait encore grimper, car d’autres transferts suspects sont en cours d’analyse.
⏳ Jusqu’où tolérerez-vous d’être piraté ?Le système PIX, plébiscité pour sa rapidité, n’intègre pas nativement de mécanismes d’annulation. C’est ce qui rend ce type d’attaque particulièrement efficace : une fois la transaction déclenchée, le fonds quitte immédiatement le système légal. Les pirates ont utilisé cette caractéristique pour inonder les circuits avec des mouvements illicites, avant de disparaître avec les fonds.
Dans le sillage de l’attaque, la Banque centrale a gelé les opérations de C&M sur plusieurs segments critiques, obligeant l’entreprise à interrompre partiellement ses services. Des fonds d’un montant de 270 millions de réaux ont été saisis ou gelés à titre conservatoire, signe que certains flux ont pu être identifiés à temps. Mais le cœur du réseau criminel, lui, reste actif : au moins quatre membres du groupe sont encore recherchés.
Un complice arrêté, un écosystème à repenser
PIX, un système vulnérable infiltré de l’intérieur
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
✅ Scanner mes risques
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
Un complice arrêté, un écosystème à repenser
L’arrestation de João Roque n’est que la première pièce du puzzle. Les enquêteurs tentent désormais de reconstituer la chaîne de responsabilité : comment un employé en poste a-t-il pu être approché, recruté, puis manipulé sans alerter les dispositifs de sécurité interne ? Si la société C&M affirme que le piratage n’est pas dû à une faille technique, mais à une défaillance humaine, la nuance est fine. Car la confiance accordée à un opérateur interne est aussi une forme de vulnérabilité.
Dans les écosystèmes bancaires interconnectés, la question de la sécurité ne se limite plus aux pare-feu ou aux audits techniques. Elle implique une évaluation comportementale, un encadrement des privilèges, une surveillance proactive des connexions légitimes. La compromission par ingénierie sociale devient la méthode la plus rentable, et sans doute la plus difficile à détecter.
C&M coopère désormais activement avec les autorités. La société affirme avoir mis en œuvre des mesures supplémentaires pour éviter toute récidive, et la Banque centrale intensifie les contrôles sur les prestataires de connectivité au sein du système PIX. Mais pour les institutions financières touchées, la question demeure : comment reconstruire la confiance dans un maillage numérique si dépendant des maillons humains ?
Le détournement de 100 millions d’euros via le système PIX n’est pas seulement une affaire de fraude bancaire. C’est un révélateur de fragilité systémique, où un simple identifiant suffit à ouvrir les vannes du système financier. Dans cette affaire, la technologie n’a pas failli. Ce sont les humains qui ont cédé.
Combien d’autres opérateurs, au sein de prestataires critiques, pourraient être déjà compromis sans que personne ne s’en aperçoive ? Souvenez-vous des alertes de ZATAZ en 2022 concernant de nombreuses enseignes françaises infiltrées. Il aura fallu 2 ans avant que les entreprises réagissent… à la suite d’arrestations !
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Source link
